Home > 전체기사
[연말특집 4] 2019년 화려하게 부활한 랜섬웨어 총정리
  |  입력 : 2019-12-27 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2018년만 해도 죽어가던 랜섬웨어가 2019년에는 온갖 스포트라이트 차지해
상황은 앞으로 더 심각해질 것...공격자들의 협업 체계와 기술력 높아져


[보안뉴스 문가용 기자] 2019년은 랜섬웨어 때문에 수많은 공공 기관과 시설들이 괴롭힘을 당한 해다. 이 트렌드는 2020년에도 이어질 것으로 예상된다. 일반 개개인을 공격하는 것보다 기업과 조직을 공격하는 것이 훨씬 효과가 좋다는 게 공격자들 사이에 널리 알려졌기 때문이다. 그래서 랜섬웨어 공격자들은 기업과 단체를 표적 삼아 노릴 수 있는 공격 도구와 전략을 가다듬고 있는 상황이다.

[이미지 = iclickart]


또한 최근 들어 여러 공격 단체들이 공동으로 랜섬웨어 캠페인을 펼치고 있는 것이 눈에 띄기 시작했다. 고급 침투 기술을 사용할 수 있는 단체와 고도의 정찰력을 발휘하고 다단계로 시스템을 감염시킬 수 있는 자들이 힘을 합해 랜섬웨어를 심는다든가, 자동화 공격 기술을 가진 자들과 소셜 엔지니어링 공격 전문가가 함께 랜섬웨어를 뿌려대는 것이다.

IT 및 보안 전문가들은 이러한 공격자들의 변화 때문에 압박을 받고 있는 상황이다. 하지만 랜섬웨어 공격자들의 기술과 전략이 더 악독해질 것이므로, 이런 압박 역시 더 심해질 전망이다. 게다가 정부 기관, 학교 등 공격자들 입장에서는 그리 어렵지 않은 표적들이 갑자기 강해질 리가 없기 때문에 IT 및 보안 전문가들이 느끼는 부담감은 가중될 것이다.

보안 업체 카스퍼스키(Kaspersky)의 수석 멀웨어 분석가인 페도르 시니트신(Fedor Sinitsyn)은 “앞으로 크고 중요한 조직일수록 랜섬웨어 공격자들에게 더 매력적인 공격 대상이 될 것”이라고 말한다. “그렇다고 해서 작고 덜 유명한 조직이 안전하다는 뜻은 아닙니다. 이제 랜섬웨어 대책을 조직 차원에서 세우는 건 너무나 당연한 일이 되었습니다.”

갈수록 악화되어가는 랜섬웨어
2019년은 죽어가던 랜섬웨어가 화려하게 부활한 해였다. 2018년 암호화폐 채굴 공격에 밀려 랜섬웨어 소식을 찾는 것도 어려울 지경이었는데, 1년 만에 상황이 뒤바뀌었다. 보안 업체 엠시소프트(Emsisoft)는 최근 “랜섬웨어 공격 때문에 미국 정부 기관, 교육 기관, 의료 기관들만 총 75억 달러 이상의 손해를 입었다”고 발표했다. 또한 의료 관련 단체 759개, 주정부 기관 103개, 대학 및 학교 기관 86곳이 올 한 해에만 랜섬웨어에 당했다고 집계했다(미국).

“게다가 위중한 환자가 급히 병원을 옮겨야 하거나, 중요한 환자들의 기록이 사라지거나, 일자가 매우 중요한 거래가 중단되고, 감시 시스템이 일시적으로 중단돼 안전을 지킬 수 없게 되는 등 금전적으로 계산할 수 없는 손실도 수없이 발생했습니다.” 엠시소프트의 설명이다. “하지만 2020년은 이것보다 더 심해질 것으로 보여 참으로 암울한 상황입니다.”

왜 그렇게 예상하는 것일까? 가장 먼저는 공격자들 간 협업 체계가 점점 증가하고 있다는 것 때문이다. 보안 업체 센티넬원(SentinelOne)에 의하면 “트릭봇(TrickBot)이라는 뱅킹 멀웨어를 운영하는 자들이 최근 자신들이 확보해놓은 공격 루트와 네트워크에 대한 접근 권한 자체를 팔기 시작했다”고 한다. 랜섬웨어 운영자들이 이를 기꺼이 구매하고 있으며, 이로써 보다 쉬운 랜섬웨어 배포가 가능해졌다는 내용도 덧붙었다.

마임캐스트(Mimecast)의 사이버 범죄 전담 책임자인 칼 위언(Carl Wearn)은 “2019년 한 해 동안 사이버 범죄 시장, 특히 랜섬웨어 산업에 있었던 여러 가지 변화 중 가장 중요한 것이 바로 다양한 전문성을 가진 범죄자들이 협업하기 시작했다는 것”이라고 말한다. “이제 범죄자들은 돈을 주고받으며 여태까지 할 수 없던 부분, 가지고 있지 못했던 기술을 보완하기 시작했습니다.”

그 다음으로 중요한 변화는 “돈을 보다 많이 받기 위해 랜섬웨어 공격자들이 미리 정찰 등을 해서 피해자의 상황을 정확하고 꼼꼼하게 파악하기 시작했다는 것”이라고 위언은 꼽는다. “최근 공격자들은 이모텟(Emotet)이나 트릭봇 등과 같은 멀웨어로 공격 대상의 멀웨어를 먼저 감염시킵니다. 그런 후 정보를 최대한 많이 모으고, 이로써 가장 중요한 데이터나 자산을 찾아냅니다. 돈을 안 주고는 버틸 수 없는 자원을 암호화하기 위해서입니다.”

시니트신은 “결국 공격자들이 피해자를 선택하고 괴롭히는 방식을 바꾼 것”이라고 설명한다. “5년 전만해도 랜섬웨어 공격자들은 자기가 구한 랜섬웨어를 맹목적으로 여기저기 뿌려댔어요. 그리고 누군가 걸려주길, 누군가 돈을 내주길 기도하기만 했죠. 하지만 이제는 아닙니다. 돈을 낼 수밖에 없도록 표적을 몰아세웁니다. 심지어 그 수위도 적당히 조절하기 때문에 피해자 입장에서 다른 선택을 하기 어렵습니다.”

위언은 보안 전문가들이 주의 깊게 살펴야 할 세 번째 변화로, “공격자들이 데이터를 암호화 하기 전에 외부로 빼내어 추가 수익을 노린다는 것”을 짚었다. 이에는 시니트신도 동의한다. “데이터를 미리 빼놓으면 피해자가 돈 내기를 거부할 때 ‘이 정보를 세상에 공개할 것이다’라고 추가로 협박할 수 있게 됩니다. 또한 일(랜섬웨어 공격)이 끝난 후에 해당 정보를 암시장에서 판매함으로써 수익을 높일 수도 있다.”

멀웨어의 수준도 계속해서 올라간다
대부분의 랜섬웨어는 아무리 고급 탐지 우회 기술을 가지고 있다고 해도, 암호화를 시작하는 순간 대부분의 보안 솔루션에 의해 탐지된다. 그것이 랜섬웨어의 약점이긴 했다. 하지만 올해 일부 랜섬웨어 공격자들이 이를 극복하는 모습을 보였다고 보안 업체 소포스(Sophos)의 수석 연구원 앤드류 브랜트(Andrew Brandt)가 말한다. “안티멀웨어 도구를 불능으로 만들어버리고 나서 파일을 암호화 하는 랜섬웨어가 나오기도 했습니다.”

심지어 윈도우에 기본 탑재된 안전 모드에서 작동하는 랜섬웨어도 나왔다. 시스템을 재부팅한 후 안전 모드로 들어가도록 한 뒤, 하드드라이브를 암호화 하는 것이다. “안전 모드로 재부팅하면 거의 모든 엔드포인트 보호 도구들이 무력화 됩니다. 스내치(Snatch)라는 랜섬웨어에서 이런 기능이 가장 먼저 발견된 것으로 보입니다.” 브랜트의 설명이다.

그러면서 “자동화 기술이 접목되기 시작한 것도 중요한 변화”라고 브랜트는 말을 이어갔다. “공격자들이 자동화 멀웨어를 사용해 자신이 감염시킨 환경에 대해 재빨리 파악하고, 횡적으로 움직이기 시작했습니다. 그러니 같은 네트워크 내에서 훨씬 많은 시스템에 접근할 수 있게 되고, 그 상태에서 랜섬웨어를 사용함으로써 동시다발적 기능마비 현상을 일으킬 수 있습니다. 피해가 엄청나게 커지죠.”

이렇게 자동화 기술을 활용해 빠르고 적극적인 공격을 하기 시작한 건 류크(Ryuk), 록커고가(Lockergoga), 로빈후드(Robbinhood), 소디노키비(Sodinokibi)와 같은 유명 랜섬웨어 패밀리들이라고 소포스는 정리한다. 카스퍼스키는 여기에 더해 “NAS 장비를 찾아 같이 암호화시키는 랜섬웨어도 등장했다”고 설명을 추가했다.

이제는 모바일로
이렇게까지만 정리해도 상황이 안 좋은데, 아직 소식이 더 남았다. 랜섬웨어 공격자들이 모바일을 겨냥하기 시작했다는 것이다. 보안 업체 넷모션 소프트웨어(NetMotion Software)의 CMO인 조엘 윈델즈(Joel Windels)는 “원래 모바일 사용자들이 피싱 공격에 더 취약하다”며 “공격자들도 이 점을 깨닫기 시작했다”고 말한다.

“게다가 사용자들은 모바일로 점점 더 많은 일들을 하기 시작했고, 그러면서 더 가치 높은 데이터들이 저장되고 있습니다. 하지만 보안 수준은 PC에 비해 현저히 낮고요. 모든 상황이 ‘모바일 랜섬웨어’로 모아지고 있습니다.”

그러면서 윈델즈는 “비슷한 맥락에서 점점 더 많은 정부 기관과 공공 시설의 시스템들이 랜섬웨어에 노출될 것”이라고 예측한다. “정부 기관과 공공 시설은 예산을 함부로 쓸 수가 없어 의외로 시스템들이 낙후되어 있습니다. 업데이트도 잘 이뤄지지 않는 곳이 대부분이고요. 모바일처럼 보안 수준이 낮다고 볼 수 있죠. 그런데 굉장히 중요한 정보들이 저장되어 있어요. 따라서 공격자들이 이런 부분을 파고들 것으로 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)